- •Оглавление
- •От авторов
- •1. Основы сетей передачи данных
- •1. Эволюция компьютерных сетей
- •Два корня компьютерных сетей
- •Первые компьютерные сети
- •Конвергенция сетей
- •2. Общие принципы построения сетей
- •Простейшая сеть из двух компьютеров
- •Сетевое программное обеспечение
- •Физическая передача данных по линиям связи
- •Проблемы связи нескольких компьютеров
- •Обобщенная задача коммутации
- •Выводы
- •Вопросы и задания
- •3. Коммутация каналов и пакетов
- •Коммутация каналов
- •Коммутация пакетов
- •Выводы
- •Вопросы и задания
- •4. Архитектура и стандартизация сетей
- •Декомпозиция задачи сетевого взаимодействия
- •Модель OSI
- •Стандартизация сетей
- •Информационные и транспортные услуги
- •Выводы
- •Вопросы и задания
- •5. Примеры сетей
- •Обобщенная структура телекоммуникационной сети
- •Корпоративные сети
- •Интернет
- •Выводы
- •Вопросы и задания
- •6. Сетевые характеристики
- •Типы характеристик
- •Производительность
- •Надежность
- •Характеристики сети поставщика услуг
- •Выводы
- •Вопросы и задания
- •7. Методы обеспечения качества обслуживания
- •Обзор методов обеспечения качества обслуживания
- •Анализ очередей
- •Техника управления очередями
- •Механизмы кондиционирования трафика
- •Обратная связь
- •Резервирование ресурсов
- •Инжиниринг трафика
- •Работа в недогруженном режиме
- •Выводы
- •Вопросы и задания
- •2. Технологии физического уровня
- •8. Линии связи
- •Классификация линий связи
- •Типы кабелей
- •Выводы
- •Вопросы и задания
- •9. Кодирование и мультиплексирование данных
- •Модуляция
- •Дискретизация аналоговых сигналов
- •Методы кодирования
- •Мультиплексирование и коммутация
- •Выводы
- •Вопросы и задания
- •10. Беспроводная передача данных
- •Беспроводная среда передачи
- •Беспроводные системы
- •Технология широкополосного сигнала
- •Выводы
- •Вопросы и задания
- •11. Первичные сети
- •Сети PDH
- •Сети SONET/SDH
- •Сети DWDM
- •Сети OTN
- •Выводы
- •Вопросы и задания
- •3. Локальные вычислительные сети
- •Общая характеристика протоколов локальных сетей на разделяемой среде
- •Ethernet со скоростью 10 Мбит/с на разделяемой среде
- •Технологии Token Ring и FDDI
- •Беспроводные локальные сети IEEE 802.11
- •Выводы
- •Вопросы и задания
- •13. Коммутируемые сети Ethernet
- •Мост как предшественник и функциональный аналог коммутатора
- •Коммутаторы
- •Скоростные версии Ethernet
- •Архитектура коммутаторов
- •Выводы
- •Вопросы и задания
- •14. Интеллектуальные функции коммутаторов
- •Алгоритм покрывающего дерева
- •Агрегирование линий связи в локальных сетях
- •Фильтрация трафика
- •Виртуальные локальные сети
- •Ограничения коммутаторов
- •Выводы
- •Вопросы и задания
- •4. Сети TCP/IP
- •15. Адресация в стеке протоколов TCP/IP
- •Стек протоколов TCP/IP
- •Формат IP-адреса
- •Система DNS
- •Протокол DHCP
- •Выводы
- •Вопросы и задания
- •16. Протокол межсетевого взаимодействия
- •Схема IP-маршрутизации
- •Маршрутизация с использованием масок
- •Фрагментация IP-пакетов
- •Выводы
- •Вопросы и задания
- •17. Базовые протоколы TCP/IP
- •Протоколы транспортного уровня TCP и UDP
- •Общие свойства и классификация протоколов маршрутизации
- •Протокол RIP
- •Протокол OSPF
- •Маршрутизация в неоднородных сетях
- •Протокол BGP
- •Протокол ICMP
- •Выводы
- •Вопросы и задания
- •Фильтрация
- •Стандарты QoS в IP-сетях
- •Трансляция сетевых адресов
- •Групповое вещание
- •IPv6 как развитие стека TCP/IP
- •Маршрутизаторы
- •Выводы
- •Вопросы и задания
- •5. Технологии глобальных сетей
- •19. Транспортные услуги и технологии глобальных сетей
- •Базовые понятия
- •Технология Frame Relay
- •Технология ATM
- •Виртуальные частные сети
- •IP в глобальных сетях
- •Выводы
- •Вопросы и задания
- •20. Технология MPLS
- •Базовые принципы и механизмы MPLS
- •Протокол LDP
- •Мониторинг состояния путей LSP
- •Инжиниринг трафика в MPLS
- •Отказоустойчивость путей MPLS
- •Выводы
- •Вопросы и задания
- •21. Ethernet операторского класса
- •Обзор версий Ethernet операторского класса
- •Технология EoMPLS
- •Ethernet поверх Ethernet
- •Выводы
- •Вопросы и задания
- •22. Удаленный доступ
- •Схемы удаленного доступа
- •Коммутируемый аналоговый доступ
- •Коммутируемый доступ через сеть ISDN
- •Технология ADSL
- •Беспроводной доступ
- •Выводы
- •Вопросы и задания
- •23. Сетевые службы
- •Электронная почта
- •Веб-служба
- •IP-телефония
- •Протокол передачи файлов
- •Выводы
- •Вопросы и задания
- •24. Сетевая безопасность
- •Типы и примеры атак
- •Шифрование
- •Антивирусная защита
- •Сетевые экраны
- •Прокси-серверы
- •Протоколы защищенного канала. IPsec
- •Сети VPN на основе шифрования
- •Выводы
- •Вопросы и задания
- •Ответы на вопросы
- •Алфавитный указатель
Выводы |
597 |
# p i n g |
s e r v e r l . c i t m g u . r u |
|
|
|
P i n g i n g |
s e r v e r l . c i t m g u . r u |
[ 1 9 3 . 1 0 7 . 2 . 2 0 0 ] |
||
R e p l y f r o m |
1 9 3 . 1 0 7 . 2 . 2 0 0b y t e s = 6 4 |
t i m e = 2 5 6 m s |
||
R e p l y f r o m |
1 9 3 . 1 0 7 . 2 . 2 0 0b y t e s = 6 4 |
t i m e = 3 1 0 m s |
||
R e p l y f r o m |
1 9 3 . 1 0 7 . 2 . 2 0 0b y t e s = 6 4 |
t i m e = 2 6 0 m s |
||
R e p l y f r o m |
1 9 3 . 1 0 7 . 2 . 2 0 0b y t e s = 6 4 |
t i m e = 1 4 6 m s |
w i t h |
6 4 b y t e s o f d a t a : |
T T L = |
1 2 3 |
T T L = |
1 2 3 |
T T L = |
1 2 3 |
T T L = |
1 2 3 |
Из приведенной распечатки видно, что в ответ на тестирующие запросы, посланные узлу serverl .mgu.ru, было получено 4 эхо-ответа. Длина каждого сообщения составляет 64 байта. В следующей колонке помещены значения времени оборота (RTT), то есть времени от момента отправки запроса до получения ответа на этот запрос. Как видим, сеть работает достаточно нестабильно —время в последней строке отличается от времени во второй более чем в два раза. На экран выводится также оставшееся время жизни поступивших пакетов.
Выводы
Вто время как задачей протокола IP является передача данных между сетевыми интерфейсами всоставной сети, основная задача протоколов TCP и UDP заключается в передаче данных между прикладными процессами, выполняющимися на разных конечныхузлах сети.
Протокол UDP является дейтаграммным протоколом, работающим без установления логического соединения, он не гарантирует доставку своих сообщений, а следовательно, не компенсирует не надежность дейтаграммного протокола IP.
Системные очереди кточкам входа прикладных процессов называют портами. Порты идентифици руются номерами и однозначно определяют приложение в пределах компьютера. Если процессы представляютсобой популярные общедоступные службы, такие как FTP, telnet, HTTP, TFTP, DNS ит. п., то за ними централизовано закрепляются стандартные (назначенные) номера.
TCP решаетзадачу надежного обменаданными путем установления логических соединений. Соеди нение однозначно идентифицируется парой сокетов.
Сокетом прикладного процесса называется пара из IP-адреса и номер порта.
Для управления потоком в рамках TCP-соединения используется специфический вариант алгорит ма скользящего окна. Сторона-получатель передает стороне-отправителю размер окна приема вбайтах.
Протоколы маршрутизации генерируютдля каждого маршрутизатора согласованныетаблицы марш рутизации, которые позволяютобеспечитьдоставку пакета по рациональному маршрутуот исходной сети в сеть назначения за конечное число шагов.
Адаптивная маршрутизация обеспечивает автоматическое обновлениетаблиц маршрутизации после изменения конфигурации сети.
Адаптивные протоколы маршрутизации делятся надистанционно-векторные алгоритмы (например, RIP) и алгоритмы состояния связей (например, OSPF).
Протоколы маршрутизации Интернета делятся на внешние (EGP), которые переносят маршрутную информацию между автономными системами, и внутренние (IGP), которые применяются только впределах определенной автономной системы.
Протокол ICMP играет в сети вспомогательную роль. Он используется для диагностики и мони торинга сети. Так, в основе работы популярных утилит мониторинга IP-сетей ping и tracert лежат ІСМР-сообщения.
598 |
Глава 17. Базовые протоколы TCP/IP |
Вопросы и задания
1.Какой объем данных получен в течение TCP-сеанса отправителем TCP-сегмента, в за головке которого в поле квитанции помещено значение 180005? Известно, что первый полученный байт имел номер 15000.
2.Может ли работать маршрутизатор, не имея таблицы маршрутизации? Варианты от ветов:
а) может, если выполняется маршрутизация от источника; б) нет, это невозможно;
в) может, если в маршрутизаторе задан маршрут по умолчанию; г) может, если выполняется лавинная маршрутизация.
3.Можно ли обойтись в сети без протоколов маршрутизации?
4.Система DNS может использовать для доставки своих сообщений как протокол UDP, так и TCP. Какой вариант вы считаете более предпочтительным? Аргументируйте свой ответ.
5.По какой причине в протоколе RIP расстояние в 16 хопов между сетями полагается недостижимым? Варианты ответов:
а) поле, отведенное для хранения значения расстояния, имеет длину 4 двоичных раз ряда;
б) сети, в которых работает RIP, редко бывают большими;
в) для получения приемлемого времени сходимости алгоритма.
6.Какие параметры сети учитывают метрики, поддерживаемые протоколом OSPF? Ва рианты ответов:
а) пропускная способность; б) количество хопов; в) надежность каналов связи.
7.ІСМР-сообщение об ошибке не посылается, если ошибка возникла при передаче ІРпакета:
а) несущего ІСМР-сообщение об ошибке; б) являющегося последним фрагментом пакета; в) несущего ЮМР-запрос;
г) упакованного в кадр с широковещательным МАС-адресом.
8.Кому адресовано ІСМР-сообщение? Варианты ответов:
а) протоколу IP узла-отправителя пакета, вызвавшего ошибку;
б) протоколу IP ближайшего маршрутизатора, от которого поступил пакет, вызвавший ошибку;
в) протоколу транспортного или прикладного уровня узла-отправителя пакета, вызвавшего ошибку.
9.Предложите варианты метрики, которая одновременно учи+ывает пропускную способ ность, надежность и задержку линий связи.
ГЛАВА 18 Дополнительные функции маршрутизаторов ІР-сетей
Основными функциями IP-маршрутизатора являются создание таблицы маршрутизации и продвиже ние ІР-пакетов наосноведанныхэтой таблицы. Для выполнения этих функций маршрутизатордолжен поддерживатьпротокол IP, рассмотренный в главе 16, а также протоколы маршрутизации, с которыми мыпознакомились в главе 17. Помимо этих базовых функций современные IP-маршрутизаторы под держиваютрядважных иболее сложныхфункций, которые превращают IP-маршрутизаторы в гибкие и мощные многофункциональные устройства по обработке трафика. В этой главе мы рассмотрим наиболее важные из нетривиальных возможностей IP-маршрутизаторов, часто используемые ад министраторами сетей.
Маршрутизатор является пограничным устройством, соединяющим сеть с внешним миром. По этому естественно возложить на него функции по защите сети от внешних атак. Эти функции
IP-маршрутизаторы выполняют путем фильтрации пользовательского трафика в соответствии с разнообразными признаками, передаваемыми в ІР-пакетах: адресами отправителя и получателя, идентификаторомтипа протокола, вложенным в ІР-пакет, идентификатором типа приложения, гене рирующего этот трафик. Подобная функциональность предотвращает проникновение нежелатель ного трафика во внутреннюю сеть и снижает вероятность атаки на ее хосты. Важную роль в защите внутреннихресурсов сети играет технология трансляции сетевых адресов (NAT), которая позволяет
скрыть от внешних пользователей реальные адреса, используемые хостами сети.
Сравнительно новым свойством ІР-сетей является поддержка параметров качества обслужи вания (QoS). Отдельные механизмы, необходимые для контроля и предотвращения перегрузок,
IP-маршрутизаторы поддерживают на протяжении уже долгого времени, однако стандарты систем обеспечения QoS были разработаны для ІР-сетей только в конце 90-х. Существуют две технологии поддержания параметров QoSдля ІР-сетей —это интегрированное идифференцированное обслу живание. Первая обеспечивает качествообслуживания для отдельныхпотоков, а вторая разработана для агрегированных потоков, представляющих небольшое число классов трафика.
Еще одним очень перспективным направлением в развитии стека TCP/IP является групповое веща ние(multicast). Помимо больших коммерческих перспектив эта технология увлекает исследователей
своей сложностью. Действительно, немного задач можно сравнить по грандиозности с проблемой создания эффективного механизма одновременной доставки информации миллионам имиллиардам людей и устройств во всемирном масштабе.
Завершает главу рассмотрение особенностей новой версии протокола IP — IPv6. Мы наиболее
подробно остановимся на модернизации схемыадресации, сделавшей ее более масштабируемой, атакже на изменении формата заголовка IP, что позволило повысить пропускную способность сети засчетсокращения объема работы, выполняемой маршрутизаторами.
600 |
Глава 18. Дополнительные функции маршрутизаторов 1Р-сетей |
Фильтрация
Протоколы ІР-маршрутизации создают таблицы маршрутизации, на основе которых любой узел составной сети может обмениваться информацией с любым другим узлом. Благодаря этому принципу дейтаграммных сетей каждый пользователь Интернета может получать доступ к любому публичному сайту.
Напомним, что в сетях, основ&нных не технике виртуальных каналов, взаимодействие произвольных узлов невозможно без предварительной процедуры установления между ними виртуального канала.
Однако такая всеобщая достижимость узлов и сетей не всегда отражает потребности их владельцев. Поэтому многие маршрутизаторы поддерживают развитые средства фильтра ции пользовательского трафика, а также фильтрации объявлений протоколов маршрути зации, что позволяет дифференцированно управлять достижимостью узлов.
Фильтрация пользовательского трафика
ПодфильтрациейпонимаетсянестандартнаяобработкуІР-пакет0вмаршрутизаторами, приво* і дящая к отбрасываниюнекоторыхпакетов илиизменение йхмзршрута.
Фильтрация пользовательского трафика маршрутизаторами аналогична по принципу действия фильтрации, выполняемой коммутаторами локальных сетей (см. главу 14).
Условия фильтрации маршрутизаторов обычно существенно сложнее и в них учитывается гораздо больше признаков, чем у коммутаторов локальных сетей. Например, это могут быть:
□IP-адреса источника и приемника;
□МАС-адреса источника и приемника;
□идентификатор интерфейса, с которого поступил пакет;
□тип протокола, сообщение которого несет IP-пакет (то есть TCP, UDP, ICMP или OSPF);
□номер порта TCP/UDP (то есть тип протокола прикладного уровня).
При наличии фильтра маршрутизатор сначала проверяет совпадение условия, описанного этими фильтром, с признаками пакета, и при положительной проверке выполняет над пакетом ряд нестандартных действий. Например, пакет может быть отброшен (drop); на правлен к следующему маршрутизатору, отличающемуся от того, который указан в таблице маршрутизации; помечен, как вероятный кандидат на отбрасывание при возникновении перегрузки. Одним из таких действий может быть и обычная передача пакета в соответ ствии с записями таблицы маршрутизации.
Рассмотрим примеры фильтров, написанных на командном языке маршрутизаторов Cisco. Эти фильтры, называемые списками доступа, сегодня в IP-маршрутизаторах являются очень распространенным средством ограничения пользовательского трафика.
Наиболее простым является стандартный список доступа; в нем в качестве условия филь трации учитывается только ІР-адрес источника.
Фильтрация |
601 |
Общая форма такого условия выглядит следующим образом:
a c c e s s - 1 і s t номер _ с писка _ досту па { d e n y |
| |
p e r m i t } |
{ адрес _ ист очника [ метасимволы_ источника |
] |
| a n y } |
Стандартный список доступа определяет два действия с пакетом, который удовлетворяет описанному в фильтре условию: отбросить (deny) или передать для стандартной обра ботки в соответствии с таблицей маршрутизации (permi t). Условием выбора того или иного действия в стандартном списке доступа является совпадение IP-адреса источника пакета с адресом источника, заданным в списке. Совпадение проверяется в том же стиле, чтои при проверке таблицы маршрутизации, при этом метасимволы являются аналогом маски, но в несколько модифицированном виде. Двоичный нуль в поле метасимволов ис точника означает, что требуется совпадение значения этого разряда в адресе пришедшего пакета и в адресе, заданном в списке доступа. Двоичная единица означает, что совпадения в этом разряде не требуется. Практически, если вы хотите задать условие для всех адресов некоторой подсети, то должны использовать инвертированное значение маски этой под сети. Параметр any означает любое значение адреса —это просто более понятная и краткая форма записи значения 255.255.255.255 в поле метасимволов источника.
Пример стандартного списка доступа:
a c c e s s - l i s t |
1 d e n y 1 9 2 . 7 8 . 4 6 . 0 0 . 0 . 0 . 2 5 5 |
Здесь:
□1 —номер списка доступа;
□deny —действие с пакетом, который удовлетворяет условию данного списка доступа;
□192.78.46.0 —адрес источника;
□0.0.0.255 —метасимволы источника.
Этотфильтр запрещает передачу пакетов, у которых в старших трех байтах адреса источ никаимеется значение 192.78.46.0.
Список доступа может включать более одного условия. В этом случае он состоит из не скольких строк с ключевым словом access-1 і s t n одним и тем же номером списка до ступа. Так, если мы хотим разрешить прохождение через маршрутизатор пакетов хоста 192.78.46.12, запрещая передачу пакетов одному из хостов сети 192.78.46.0/24, то список доступабудет выглядеть следующим образом:
a c c e s s - l i s t |
1 p e r m i t |
1 9 2 . 7 8 . 4 6 . 1 2 0 . 0 . 0 . 0 |
|
a c c e s s - 1 і s t |
1 d e n y 1 9 2 . 7 8 . 4 6 . 0 |
0 . 0 . 0 . 2 5 5 |
|
a c c e s s - 1 і s t |
1 p e r m i t |
a n y |
|
Условиясписка доступа проверяются по очереди, если какое-либо из них дает совпадение, то выполняется действие permi t или deny, определенное в этом условии. После этого остальные условия списка уже не проверяются. Считается по умолчанию, что в конце каждогосписка имеется неявное условие вида:
[ a c c e s s - 1 і s t |
1 d e n y a n y ] |
Однако, если вам все же требуется пропускать все пакеты, не определенные явно в усло виях, необходимо добавить в последней строке условие:
a c c e s s - l i s t |
1 p e r m i t a n y |
Список доступа можно применять к любому интерфейсу маршрутизатора и в любом на правлении: если список применяется с ключевым словом і п, то он действует на входящие в интерфейс пакеты, а если с ключевым словом out —на выходящие. Например, написан
602 |
Глава 18. Дополнительные функции маршрутизаторов ІР-сетей |
ный нами список доступа 1 можно применить к некоторому интерфейсу для обработки входящего трафика, используя следующую команду:
a c c e s s - g r o u p 1 i n
Существуют также и более мощные типы списков доступа для маршрутизаторов Cisco, например, расширенные списки доступа. Общий формат этих списков следующий:
a c c e s s - l i s t |
номер _ с писка _ дост упа { d e n y |
| |
p e r m i t } |
|
||||
{ |
p r o t o c o l |
І ключевое _ слово _ протокола |
} |
|
|
|
||
{ |
ад рес _ ист очника |
[ |
метасимволы_ источника |
] ] |
[ |
порт _ ис точника |
] | a n y } |
|
[ |
адрес _приемника |
[ |
метасимволы_приемника |
] ] |
[ |
порт_приемника |
] |
Пользуясь расширенными списками доступа, можно запретить прохождение во внутрен нюю сеть предприятия FTP-пакетов. Как известно, служба FTP использует для приема запросов от клиентов протокол TCP с хорошо известным портом 21. Для этого в список доступа нужно включить условие:
a c c e s s - l i s t 1 0 2 d e n y T C P a n y 21 a n y
Затем можно применить его к интерфейсу маршрутизатора, к которому подключена вну тренняя сеть, с ключевым словом out.
Администраторы корпоративных сетей из соображений безопасности1 часто запрещают возможность трассировки извне внутренних хостов утилитой ping. Это делается с помо щью условия:
a c c e s s - l i s t 10 1 d e n y I C MP a n y 1 9 2 . 7 8 . 4 6 . 8 0 . 0 . 0 . 0 e q 8
Как видно из условия, его синтаксис для протокола ICMP несколько отличается от обще го синтаксиса расширенных списков доступа. Параметр eq 8 означает, что запрещается передача ІСМР-сообщений типа 8, соответствующего эхо-запросам, с помощью которых функционирует утилита ping.
Еще более гибким является язык фильтров программного маршрутизатора, работающего во многих версиях Unix. Синтаксис этого языка близок к синтаксису языка С, что позво ляет строить весьма сложные логические конструкции с помощью условных инструкций i f , t h e n , e l s e .
Необходимо отметить, что фильтрация пользовательского трафика может существенно замедлять работу маршрутизатора, так как обработка каждого пакета требует проверки дополнительных условий.
Для того чтобы не создавать слишком большую нагрузку на маршрутизатор и «не от влекать» его от выполнения основных обязанностей, в фильтрах маршрутизаторов не используется информация о предыстории сеансов. Сколько бы ни было сложным условие фильтрации маршрутизатора, в нем учитываются только параметры текущего пакета и не могут учитываться параметры предыдущих пакетов, уже обработанных маршрутизатором. Это ограничение является главным отличием маршрутизаторов от брандмауэров, специ альных программных систем, которые, используя информацию о предыстории сеансов, выполняют более качественную фильтрацию.
1 См. об этом в главе 24.